この章では、Oracle Identity Managerに関連する問題について説明します。次の項目が含まれます。
この項では、Oracle Identity Manager 11gリリース2 (11.1.2.3)のパッチ要件について説明します。内容は次のとおりです。
注意: 適用する必要がある追加のパッチの詳細は、「必要なパッチのダウンロードおよび適用」を参照してください。 |
My Oracle Support(旧OracleMetaLink)からパッチを入手するには、次のURLに移動し、「パッチと更新版」をクリックしてパッチ番号を検索してください。
表10-1に、Oracle Database 11g (11.1.0.7)を使用するOracle Identity Manager 11gリリース2 (11.1.2)の構成に必要なパッチを示します。Oracle Identity Manager 11gを構成する前に、Oracle Database 11g(11.1.0.7)に必ずパッチを適用してください。
表10-1 Oracle Database 11g (11.1.0.7)に必要なパッチ
プラットフォーム | My Oracle Supportでのパッチ番号および説明 |
---|---|
UNIX/Linux |
7614692: 保存例外を伴うバルク機能はORACLE 11Gでは機能しません |
7000281: 11GにおけるFOR ALL文の動作の違い |
|
8327137: インライン・ビューおよび集計機能の結果が不正です |
|
8617824: Oracle Bug#7628358および7598314に対する11.1.0.7の最上位でのマージ・ラベル・リクエスト |
|
8545377: CURSOR_SHARING=FORCEの場合に、ORA-1780が発生しました |
|
Windows 32ビット |
8689191: Windows 32ビットでのORACLE 11G 11.1.0.7パッチ16のバグ |
Windows 64ビット |
8689199: WINDOWS (64ビットAMD64およびINTEL EM64T)でのORACLE 11G 11.1.0.7パッチ16のバグ |
Oracle Solaris on SPARC 64ビット |
8545377: CURSOR_SHARING=FORCEの場合に、ORA-1780が発生しました |
表10-2に、Oracle Database 11g (11.2.0.1.0)を使用するOracle Identity Manager 11gリリース2 (11.1.2.3)の構成に必要なパッチを示します。
Oracle Database 11g (11.2.0.2.0)を使用する場合は、必ずRDBMSパッチ番号9776940に適した(プラットフォームに基づく)バージョンをダウンロードしてインストールしてください。これは、Oracle Identity Managerスキーマをインストールするための前提条件です。
表10-3に、Oracle Database 11gリリース2 (11.2.0.2.0)を使用するOracle Identity Manager 11gリリース2 (11.1.2)の構成に必要なパッチを示します。Oracle Identity Managerスキーマを作成する前に、必ず次のパッチをダウンロードしてインストールしてください。
表10-3 Oracle Database 11g (11.2.0.2.0)に必要なパッチ
プラットフォーム | My Oracle Supportでのパッチ番号および説明 |
---|---|
Linux x86 (32ビット) Linux x86 (64ビット) Oracle Solaris on SPARC (64ビット) Oracle Solaris on x86-64 (64ビット) |
RDBMSパッチ番号13004894。 |
Microsoft Windows x86 (32ビット) |
バンドル・パッチ2[パッチ番号11669994]以降。最新のバンドル・パッチは4[パッチ番号11896290]です。 |
Microsoft Windows x86 (64ビット) |
バンドル・パッチ2[パッチ番号11669995]以降。最新のバンドル・パッチは4[パッチ番号11896292]です。 |
すべてのプラットフォーム |
パッチ12419331: 11.2.0.2.0ベース・リリースに対するデータベースPSU 11.2.0.2.3 |
このパッチが適用されない場合、ユーザーおよびロールの検索やマネージャの参照で問題が発生する可能性があります。また、検索結果として空の結果が戻されることもあります。
表10-4に、Oracle Database 11g (11.2.0.3.0)を使用するOracle Identity Manager 11gリリース2 (11.1.2.3)の構成に必要なパッチを示します。
表10-4 Oracle Database 11g (11.2.0.3.0)に必要なパッチ
プラットフォーム | My Oracle Supportでのパッチ番号および説明 |
---|---|
Linux x86 64ビット |
14019600: 11.2.0.3.0に対するバグ13004894 13370330 13743357のマージ・リクエスト |
Solaris、HP-UX、IBM AIX |
14019600: 11.2.0.3.0に対するバグ13004894 13370330 13743357のマージ・リクエスト |
Microsoft Windows 32ビット |
13783452: Windows 32ビットでのORACLE 11G 11.2.0.3パッチ4のバグ |
Microsoft Windows 64ビット |
13783453: WINDOWS (64ビットAMD64およびINTEL EM64)でのORACLE 11G 11.2.0.3パッチ4のバグ |
表10-5に、Oracle Database 11g (11.2.0.4.0)を使用するOracle Identity Manager 11gリリース2 (11.1.2.3)の構成に必要なパッチを示します。
Oracle Database 10gでは、CONNECT_BY_ROOT句を使用してマテリアライズド・ビューを作成するときに問題が発生します。これは、CONNECT_BY_ROOT演算子がOracle Database 10g (10.2)では使用できないことが原因です。
この問題を解決するには、表10-6にリストされているパッチを使用します。
Oracle Identity Manager提供のパッチの適用時に、次のエラーが生成されます。
ApplySession failed: ApplySession failed to prepare the system.
バージョン要件を満たすために、OPatchバージョン11.1.0.8.1をバージョン11.1.0.8.2にアップグレードする必要があります。
My Oracle SupportからOPatchをダウンロードする方法は、「My Oracle Support(旧OracleMetalink)からのパッチの取得」を参照してください。
BI Publisher 11.1.1.9.0のパッチ要件の詳細は、第1.6.1項「Oracle Identity Managerをインストールするための必須のパッチ」を参照してください。
SOA 11.1.1.9.0のパッチ要件の詳細は、第1.6.1項「Oracle Identity Managerをインストールするための必須のパッチ」を参照してください。
SSLが有効でJDK 7u40以降が使用され、SSLがOracle Identity Managerの管理のデフォルト設定を使用したOracle Identity ManagerでのSSLの有効化に関する項の説明に従ってデフォルト設定を使用して構成されているOracle Identity Manager環境で、Oracle WebLogic Serverパッチ13964737を適用します。
Oracle Identity Manager 11gリリース2 (11.1.2.3)の最新のバンドル・パッチをダウンロードして適用する必要があります。これを行うには、次の手順を実行します。
次のURLでMy Oracle SupportのWebサイトにログインします。
「Knowledge」タブをクリックします。
Master Note on Fusion Middleware Proactive Patching - Patch Set Updates (PSUs) and Bundle Patches (BPs) (ドキュメントID 1494151.1)
という名前の記事を検索してください。
記事に記載されている指示に従って、適切なバンドル・パッチをダウンロードして適用してください。プロアクティブなパッチ表の'Oracle Identity Manager (OIM) 11gR2'の行では、Oracle Identity Managerの現行リリースのバンドル・パッチについての情報を提供しています。
Oracle Identity Manager 11gリリース2 (11.1.2.3.0)の主な新機能は次のとおりです。
Oracle Identity Managerの簡易化されたタイル表示のユーザー・インタフェースでは、エンド・ユーザーがジョブを実行するために必要なセルフ・サービス機能にすぐにアクセスできます。ユーザーは、不要なナビゲーションを行わずに、自分が持っているアクセス権の確認、自らの情報の管理、パスワードのリセットを行うことができます。管理者および権限を持つユーザーは自らの作業アイテムに簡単にアクセスできます。また、随所にある通知アイコンを使用して、作業の様子がはっきりわかります。
アクセス・リクエスト機能がさらに単純化され、エンド・ユーザーは、ジョブの実行に必要なアクセス権を簡単でわかりやすい方法で取得できます。ユーザーに対して、アクセス・リクエスト・プロセスの流れがガイドされ、アクセス・カタログを介したわかりやすい方法で関連するアクセス権が示されます。ガイド付きのナビゲーションとインテリジェント・フォームのおかげで、エンド・ユーザーは、アクセス権を参照したり、必要に応じてキーワード検索を使用してアクセス権を検索したりできます。アクセス・カタログでは、エンド・ユーザーが必要なアクセス権を決定できるように、関連するビジネス情報が提示されます。
新しいアクセス権のリクエスト(または既存のアクセス権に対する変更)において、アクセス権が適切な時点で付与されて要件が終了したら取り消されるように、ユーザーが開始日と終了日を設定できます。権限を持っているユーザーは、保留中のアクセス権とプロビジョニングされたアクセス権の付与期間を変更できます。
管理者は、Oracle Identity Managerでエンド・ユーザーが自分自身または他のユーザーに対して実行できるアクションを制御する必要があります。以前のリリースでは、管理者がエンド・ユーザーのアクションを制御することはできず、この機能は管理ロールと承認ポリシーを組み合せて処理されています。
このリリースでは、管理者がセルフ機能を利用して、ユーザーが自分自身に対して実行できるアクションを決定するルールを指定できます。ユーザーが他のユーザーに対して実行できるアクションを制御するには、カスタム管理ロール機能を利用できます。
Oracle Identity Managerでは、カスタム管理ロールを定義できます。このような管理ロールを作成する際に、管理ロールに機能を割り当てて、管理ロールメンバーが管理できるメンバー、メンバーシップ・ルールおよび組織を指定できます。11gリリース2 (11.1.2.2.0)のシステム定義管理ロールは下位互換性のためのみに存在しています。非推奨と考えてください。できるだけ早く新しい管理ロール・モデルに移行することをお薦めします。新しい管理ロール機能を利用するには、ワークフロー・ポリシー機能も有効にする必要があります。
この機能を導入すると、Oracle Identity ManagerはAuthorization Policy Manager (APM)を使用する必要がなくなります。また、Oracle Entitlement Server (OES)に基づくポリシーのカスタマイズはサポートされません。
Oracle Identity Managerでは、権限を持つユーザーがビジネス・ロールの作成、変更、承認および認証を行うことができます。新しいビジネス・ロールを作成するユーザー、または既存のロールを変更するユーザーは、ビジネスフレンドリなメタデータを定義し、メンバーシップを制御し、ロールにアクセスできる組織を指定できます。また、1つ以上のアクセス・ポリシー(アプリケーション権限のコレクション)をロールに関連付けることもできます。アクセス・ポリシーによって、ビジネス・ユーザーはアプリケーション権限に伴う複雑さから解放され、ロールのモデル化と作成プロセスが単純になります。また、アプリケーション固有のアクセス・ポリシー・モデルによって、ロール間での再利用が促進され、全体のプロセスが単純になります。
ロールの作成または承認において、ユーザーは自らのアクションの影響(潜在的なコンプライアンス違反など)を単純なグラフィックで確認できます。ユーザーは、影響を受けるユーザー、作業中のロールに似ている他のロールがあるかどうか、コンプライアンス・ポリシーに違反していないかを確認できます。
この機能を使用するには、使用するためのライセンスが必要です。
アプリケーションにまたがるセキュリティ制御のコンプライアンスの保証と、それらの制御の実施は、規則遵守の重要な部分です。このためには、複数のアプリケーションに対するアクセス制御を定義し、それらの制御をリアルタイムで実施できることが必要になります。つまり、すでに付与されているアクセス権に関して、アクセス権の付与や変更が、検出可能な方法で行われます。企業は、Oracle Identity Managerを使用して、ビジネス・ユーザーによる監査ポリシーの設定を可能にすることにより、コンプライアンス上の目的を達成できます。監査ポリシーにより、ユーザーに付与する/しないアクセス権のタイプを指定します。たとえば、買掛金と売掛金の両方にアクセスできるユーザーが企業改革法に違反しているとします。これは、職務の分離(SoD)違反と呼ばれます。企業は、Oracle Identity Managerを使用して、アクセス・リクエスト中に実施できるSoDポリシーを定義できるだけでなく、既存のアクセスをスキャンして、ポリシー違反と呼ばれるアクセス権の有害な組合せを特定できます。Oracle Identity Managerでは、違反を識別し、ビジネス管理者や管理者などの改善者がこれらの違反を修正できるワークフローを開始します。このプロセスは、改善と呼ばれます。改善者が実行するアクションはすべて記録され、包括的な監査証跡が維持されます。
この機能を使用するには、使用するためのライセンスが必要です。
このリリースのOracle Identity Managerでは軽量の監査エンジンが導入され、ユーザー、ロールおよび組織の管理や、プロビジョニングを除く他のコンポーネントによって使用されます。既存の監査エンジンとは異なり、監査スナップショットとJMSに依存せず、操作は同期されます。この監査エンジンは戦略的に選択されています。現在の監査エンジンはこの製品の次のリリースでは非推奨になる予定です。
このリリースのOracle Identity Managerでは、Oracle Identity ManagerとOracle Access Manager (OAM)に対して共通パスワード・ポリシー管理フレームワークが提供されます。チャレンジ・ポリシーの概念も導入され、チャレンジ質問をシステム定義とエンドユーザー定義のどちらにするか(または両方の組合せにするか)を指定できます。組織ごとに異なるパスワード・ポリシーを指定して、パスワードおよびチャレンジ質問の細かい制御が可能になります。
Representational State Transfer (REST)サービスは、HTTPでスケーラブルなWebサービスを作成するための標準アプローチです。System for Cross-Domain Identity Management (SCIM)は、ユーザーとグループを表すために使用される標準で、必要なCRUD操作すべてに対してREST APIを提供します。このリリースのOracle Identity Managerは、いくつかのサービスをSCIMベースのRESTサービスとして公開します。SCIMベースのRESTサービスの導入によって、SPML XSDベースのSOAP Webサービスは非推奨になります。できるだけ早く新しいRESTサービスに移行することをお薦めします。
Oracle Identity Managerでは、特定のアクションに対して起動する承認ワークフローを決定するために承認ポリシーが使用されます。この機能はワークフロー・ポリシーのために非推奨になりました。ワークフロー・ポリシーの機能は認証ポリシーと同じですが、パフォーマンスが向上し、構成オプションが追加されています。また、このリリースのUIに準拠しています。このリリースのOracle Identity Managerにアップグレードする場合も承認ポリシーの使用を続けることができます。ただし、単純化された管理ロール機能は利用できません。Oracle Identity Managerの新規デプロイメントではワークフロー・ポリシーしか使用できません。
Oracle Identity Manager 11gリリース2 (11.1.2.3)にアップグレードする場合は、できるだけ早く承認ポリシーをワークフロー・ポリシーに変換することをお薦めします。
シングル・サインオン(SSO)に対するOracle Identity Managerの推奨アプローチは、WebLogicプラグイン(アイデンティティ・アサータまたはオーセンティケータ)を使用することです。これらのプラグインは、Web Access Managementソリューション(OAMまたはSiteMinder)によって提供されます。このリリースのOracle Identity Managerは、HTTPヘッダー変数を使用して単純化されたシングル・サインオンを統合に対してサポートします。このアプローチでは、Oracle HTTP ServerまたはApache HTTP ServerのようなHTTPサーバーをOracle Identity Managerのリバース・プロキシとして構成し、ベンダー提供のWebサーバー・プラグインをインストールして構成する必要があります。
この項では、一般的な問題および回避策について説明します。次の項目が含まれます。
10.3.35項「デプロイメント・マネージャのインポート/エクスポートがEdgeブラウザおよびSafariブラウザでサポートされない」
10.3.37項「oimclient.jarで、更新と、一部のpasswordmgmt VOのためのipf.jarが必要になる」
Microsoft Internet Explorer 9を使用している場合、Oracle Identity Self Serviceの一部の操作ボタンの緑の背景色が正しく表示されません。
この問題を回避するには、Internet Explorer 10以上にアップグレードします。または、Mozilla FirefoxやGoogle Chromeを使用します。
拒否された属性のリストにアイデンティティ・ステータスが含まれる場合、管理ロールに追加された機能は予定どおりに動作しません。アイデンティティ・ステータスを、拒否された属性のリストに含めることはできません。
これは既知の問題であり、この問題の回避策はありません。
基本検索から拡張検索に切り替えて検索条件を入力した後、また基本検索に戻ると、基本検索に拡張検索の条件が入力されたままになります。基本検索ではなくなります。ただし、拡張検索のパラメータはすべて表示されないため、ユーザーにはわかりません。
UMSクライアント・オブジェクトはOracle Identity Managerにプールされます。通知の使用時に、次の例外が記録されることがあります。
Class/Method: UCPPool/returnConnectionToPool encounter some problems: Failed to release connection back to the UCP Pool, pooledconnection is null.
通知メッセージの損失にはつながらないため、この例外は安全に無視することができます。
アカウント/権限をリクエストするとき、電子メール通知が承認者に送信されます。電子メールに埋め込まれたタスクの詳細には、アプリケーション・インスタンスまたは権限のフォーム・データは表示されません。
これは既知の問題であり、この問題の回避策はありません。
デプロイメント・マネージャを使用してロールUDFとカタログUDFで構成されるロールをエクスポートおよびインポートするとき、カタログUDFは値と一緒にインポートされますが、ロールUDFの値が正しくインポートされません。
この問題を回避するには、インポートした後でロールを手動で更新します。
デプロイメント・マネージャを使用してロールをエクスポートおよびインポートするとき、ロールの履歴が正しくインポートされません。インポート先の環境に新しいロール履歴が作成され、「属性」および「メンバーシップ・ルール」サブタブに表示されます。ただし、次のサブタブには新しい履歴は表示されません。
階層
アクセス・ポリシー
組織
ロール・メンバーシップ
証明
これは既知の問題であり、この問題の回避策はありません。
デプロイメント・マネージャを使用して親ロールと子ロールを含むロールをエクスポートおよびインポートするとき、子ロールが「階層」タブの「継承先」サブタブに表示されます。ただし、親ロールは「継承元」サブタブに表示されません。また、親ロールは、エクスポート時に依存関係として選択できません。
これは既知の問題であり、この問題の回避策はありません。
デフォルト・ロールの「Display Name」属性の値(OPERATORS、ALL USERS、SELF OPERATORSなど)の変更はサポートされていません。
また、任意のクライアント(APIクライアント、UI、デプロイメント・マネージャなど)が「ロールVO」で表示名属性をロール変更APIに渡すと、渡された表示名がシステムのロールの表示名と同じ場合でも、操作が失敗します。この結果、エクスポートされたデフォルト・ロールをデプロイメント・マネージャでインポートすると、この制約のために失敗し、次のエラーが記録されます。
Caused by: oracle.iam.platform.kernel.ValidationFailedException: IAM-3056150:Cannot change the base value for the display name of an Oracle Identity Manager system role.: at oracle.iam.identity.utils.Utils.createValidationFailedException(Utils.java:1066) at oracle.iam.identity.utils.Utils.createValidationFailedException(Utils.java:1049) at oracle.iam.identity.rolemgmt.utils.RoleManagerUtils.createValidationFailedException(RoleManagerUtils.java:3242) at oracle.iam.identity.rolemgmt.utils.RoleManagerUtils.createValidationFailedException(RoleManagerUtils.java:3251) at oracle.iam.identity.rolemgmt.impl.handlers.role.RoleValidationHandler.validateOOTBRoles(RoleValidationHandler.java:731) at oracle.iam.identity.rolemgmt.impl.handlers.role.RoleValidationHandler.validate(RoleValidationHandler.java:441) at oracle.iam.identity.rolemgmt.impl.handlers.role.RoleValidationHandler.validate(RoleValidationHandler.java:285) at oracle.iam.platform.kernel.impl.OrchestrationEngineImpl.validate(OrchestrationEngineImpl.java:307) at oracle.iam.request.impl.RequestEngine.triggerOperation(RequestEngine.java:4783) at oracle.iam.request.impl.RequestEngine.doOperation(RequestEngine.java:4472) at oracle.iam.impl.OIMServiceImpl.doOperation(OIMServiceImpl.java:43) at org.springframework.aop.support.AopUtils.invokeJoinpointUsingReflection(AopUtils.java:307) at org.springframework.aop.framework.ReflectiveMethodInvocation.invokeJoinpoint(ReflectiveMethodInvocation.java:182) at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:149) at oracle.iam.platform.utils.DMSMethodInterceptor.invoke(DMSMethodInterceptor.java:35) at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:171) at org.springframework.aop.framework.JdkDynamicAopProxy.invoke(JdkDynamicAopProxy.java:204) at $Proxy355.doOperation(Unknown Source) at oracle.iam.identity.utils.Utils.invokeUnifiedService(Utils.java:3831) at oracle.iam.identity.rolemgmt.impl.RoleManagerImpl.modify(RoleManagerImpl.java:4196)
この問題を回避するには、デプロイメント・マネージャのインポート選択項目サマリー画面でデフォルト・ロールを右クリックし、「削除」をクリックしてインポート選択項目からそのロールを削除します。その後で、残りのアーティファクトをインポートします。
Google Chrome、Microsoft Internet ExplorerまたはMozilla Firefox Webブラウザが使用されるとき、承認タスクにデジタル署名できません。Firefoxが使用される場合にこの問題が発生するのは最近のバージョンのFirefoxのみです。
タスクのデジタル署名に関してFirefox Webブラウザはサポートされています。Firefoxを使用して署名するには、次のように設定します。
次のURLにナビゲートします。
「Add to Firefox」をクリックして、電子署名用のアドオンをインストールします。
ブラウザを再起動します。
ロール詳細で「使用可能なロール」の「組織名」列によるソートまたはフィルタ処理はサポートされていません。
SCIM RESTサービスを使用すると、ルート検索で属性IDによるフィルタ処理はサポートされません。
SCIM RESTサービスを使用すると、属性meta.resourceType
によるフィルタ処理はサポートされません。
SCIM REST APIを使用してパスワード・ポリシーを取得するとき、返されるリソースをソートできません。
次の例に示すように、一部の操作では、SCIMレスポンスに返されるHTTPエラー・コードがSCIM仕様に定義されているものと違います。
すでに存在するユーザーに対するPOST操作は、HTTPエラー・コード409
ではなく400
を返します。
削除済の組織の削除は、HTTPエラー・コード404
ではなく400
を返します。
認可のないリクエストは、HTTPエラー・コード401
ではなく500
を返します。
パスワード・ポリシーに対する認可のないPOST、PATCHおよびPUT操作は、HTTPエラー・コード401
ではなく500
を返します。
不明パスワード・ポリシーに対するPUT操作は、正しくないエラー・コード500
を返します。
読取り専用属性に対するPATCH操作は、正しくないエラー・コードをかえします。
ServiceProviderConfigsのサポートされない操作は、403
ではなく正しくないエラー・コードを返します。
認可のないユーザーの無効化および有効化は、401
ではなく正しくないエラー・コードを返します。
検索できない属性に対するGET操作は、正しくないエラー・コードを返します。
読取り専用属性を置き換えるPATCHは、正しくないエラー・コードをかえします。
不明な通知テンプレートおよびシステム・プロパティでのDELETE操作は、正しくないエラー・コードを返します。
PUTグループが不明所有者である場合、正しくないエラー・コードを返します。
SCIM RESTサービスを使用するとき、meta.resourceType
のフィルタを設定したルート検索が失敗します。エラー・コード500
が返されます。
SCIM RESTサービスを使用するとき、リソースを指定しないルート検索が失敗します。エラー・コード500
が返されます。
「参照タイプ」フォームの検索結果の「説明」列をクリックして説明に基づいてソートすると、ソート結果が表示されず、次のエラーがOracle Identity Managerサーバー・ロケールに表示されます。
ORA-00932: inconsistent datatypes: expected - got CLOB
カタログ拡張検索で、権限としてエンティティ・タイプを選択すると、「アプリケーション」コンボ・ボックスでアプリケーション・インスタンスを選択できます。または、「アプリケーション」コンボ・ボックスにアプリケーション・インスタンス名の最初の数文字を入力すると、それらの文字と一致するアプリケーション・インスタンス名が「詳細」リンクと一緒に表示されます。ただし、「詳細」リンクをクリックしても機能しません。
「カタログ属性」セクションが開いているときに、ロールの作成ウィザードの「サマリー」ページで、読取り専用属性として追加されたカタログUDFをカスタマイズすると、次のエラーがスローされます。
OracleJSP error: java.io.FileNotFoundException:
注意: 例外メッセージ全体を表示するには、init-param デバッグ・モードをtrue に設定します。 |
この問題を回避するには、ロールの作成ウィザードの「サマリー」ページの「カタログ属性」セクションを閉じてから、「カスタマイズ」をクリックします。
ロールの作成ウィザードの「サマリー」ページには、ロールを作成するときにすでに追加された属性が表示されます。したがって、「属性」ページの「カタログ属性」セクションに表示されていないカタログ属性を「サマリー」ページに追加することはできません。このため、カタログUDFに読取り専用ラベルを追加する場合、「属性」ページの「カタログ属性」セクションでUDFを追加してから、そのUDFの「表示オプション」に移動して、「式ビルダー」を使用して「読取り専用」プロパティを設定します。これには、次の式を使用します。
#{!pageFlowScope.editable}
同じUDFが「サマリー」ページに読取り専用として表示されます。このUDFについて「サマリー」ページで別の読取り専用属性を追加する必要はありません。
アプリケーション・インスタンス・フォームに新しいフィールドを作成するとき、同じセッションで、アイデンティティ・セルフ・サービスを使用してそのアプリケーション・インスタンスを任意のユーザーに対してプロビジョニングしようとすると、エラー・ページが表示されます。
この問題を回避するには、アイデンティティ・セルフ・サービスからログアウトしてログインします。
Oracle Identity Managerのこのリリースでは、リスク・レベルをカスタマイズすることはできません。
Oracle Identity Self Serviceの「セルフ・サービス」ホームページでの保留中の承認件数の表示は、多数のタスク(およそ34000タスク)が承認を待機している場合は遅くなります。
この問題の解決方法:
次のSQL問合せを実行してSOAスキーマに索引を作成します。
CREATE INDEX WFTASKSTATENSPC ON WFTASK("STATE","IDENTITYCONTEXT","TASKNAMESPACE", "ACQUIREDBY","AGGREGATIONTASKID")';
すべてのデータベース・スキーマの統計を収集します。
すべてのサーバーを再起動します。
Oracle Databaseバージョン11.2.0.1.0では、技術用語集のロードが予期したように作動しません。階層権限データをOracle Identity Managerデータベースにシードしようとするとき、次のInternal ORA-00600
エラーが記録されます。
<ORA-00600: internal error code, arguments: [kzxcInitLoadLocal-7], [64131], [ORA-64131: XMLIndex Metadata: failure during the looking up of the dictionary ORA-30966: error detected in the XML Index layer ORA-31011: XML parsing failed], [], [], [], [], [], [], [], [], [] ORA-00600: internal error code, arguments: [kzxcInitLoadLocal-7], [64131], [ORA-64131: XMLIndex Metadata: failure during the looking up of the dictionary ORA-30966: error detected in the XML Index layer ORA-31011: XML parsing failed ], [], [], [], [], [], [], [], [], []
この問題を回避するには:
データベースにSYS DBユーザーとしてログインし、次の問合せを実行します。
DROP INDEX XDB.PRIN_XIDX; DROP INDEX XDB.SC_XIDX;
階層権限データをOracle Identity Managerデータベースにシードします。
Oracle Identity Managerユーザーから次の問合せを実行して、シード済データがカタログ階層表に入力されたかどうかを確認します。
SELECT COUNT(1) FROM CATALOG_HIERARCHICAL_ATTR;
データがCATALOG_HIERARCHICAL_ATTR
表に正常にシードされます。
初めてOracle Identity Self Serviceにログインして、チャレンジ質問と回答を設定する際に、設定しようとする質問の長さが55文字を超えると、次のエラーが表示されます。
Error Unexpected exception caught: {0}, msg={1} Error JTA transaction unexpectedly rolled back (maybe due to a timeout); nested exception is weblogic.transaction.RollbackException: setRollbackOnly called on transaction Error setRollbackOnly called on transaction
この問題は、管理者定義のチャレンジ質問にもパスワード・ポリシーによって定義されるチャレンジ質問にも該当します。また、アイデンティティ・セルフ・サービスの「本人情報」ページでチャレンジ質問と回答を設定しようとした場合も、同じエラーが表示されます。
SCIM OIM Webアプリケーションは英数字のみのUDF名しか受け入れません。UDFの名前にアンダースコア(_)またはマイナス(-)記号が含まれるように作成されると、UDFが作成された後でSCIM OIM Webアプリケーションが機能しなくなります。
この問題を回避するには、Oracle Identity ManagerメタデータでUDF定義を次のように修正する必要があります。
Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのユーザー修正可能メタデータ・ファイルの移行に関する項の説明に従って、OIMメタデータをエクスポートします。
エクスポート・ディレクトリの場所(/tmp/mds
)をtoLocation、エクスポートするメタデータ・ドキュメント(/file/User.xml,/db/identity/entity-definition/Role.xml,/db/identity/entity-definition/Organization.xml
)をdocsに指定します。
作成したUDFによって応じてUser.xml、Role.xmlまたはOrganization.xmlファイルを編集し、次のようなUDFのSCIM定義を探します。
<metadata>
<name>scim</name>
<value>UDF_NAME</value>
<category>properties</category>
</metadata>
このサンプルの場合は、UDF名(UDF_NAME)から_
またはマイナス記号-
を削除します。
名前の競合を避けるために、新しいUDF名はメタデータ・ファイル内で一意である必要があります。たとえば、MY_UDF_NAME
をMYUDFNAME
で置き換える場合、MYUDFNAME
がメタデータ内でSCIM属性(UDFまたはその他)として定義されていないことを確認します。すでに定義されている場合は、MYUDFNAMEUNIQUE
のように一意の名前を探してください。
Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのユーザー修正可能メタデータ・ファイルの移行に関する項の説明に従って、修正したXMLファイルをインポートします。
インポート・ディレクトリの場所(/tmp/mds
)をfromLocation、インポートするメタデータ・ドキュメント(/file/User.xml,/db/identity/entity-definition/Role.xml,/db/identity/entity-definition/Organization.xml
)をdocsに指定します。
Oracle Identity Managerを再起動します。
アイデンティティ・セルフ・サービスでユーザーを作成するとき、電子メールIDのローカル部分は64文字以内であることが必要です。ローカル部分はlocalpart@domain.com
のlocalpartです。
電子メールIDのローカル部分が64文字を超えると、ユーザーの作成は次のエラーで失敗します。
****attribute mail is not valid. Please enter valid value for attribute mail
Oracle Identity Managerのアップグレードされたデプロイメントで、受信ボックス・ビューの名前が正しく表示されません。たとえば、ビュー名がManual Provisioning、Pending Approvals、Pending CertificationsおよびPending Violationsではなく、MANUAL_PROVISIONING_VIEW、PENDING_APPROVALS_VIEW、PENDING_CERTIFICATIONS_VIEWおよびPENDING_VOILATIONS_VIEWのように表示されます。
受信ボックスのビュー名を正しく表示するには、WorkflowCustomClasspathURL属性の値を次のように設定します。
Oracle Enterprise Managerにログインします。
「WebLogicドメイン」、「DOMAIN_NAME」の順に開きます。
ドメイン名を右クリックして、「システムMBeanブラウザ」を選択します。
「アプリケーション定義のMBean」、「oracle.as.soainfra.config」、「サーバー: SOA_SERVER」、「WorkflowConfig」、「human-workflow」の順に進みます。
WorkflowCustomClasspathURL
属性の値を調べます。adflibPendingApprovalsUI.jar
ファイルのパスが正しいことを確認します。パスが正しくない場合は、正しいパスに変更してください。
変更内容を保存します。
Google Chromeバージョン42を使用すると、「デプロイメント・マネージャ」ウィンドウが開きません。次のエラーが表示されます。
"This Plugin is not supported".
この問題を回避するには:
Google Chromeブラウザのアドレス・バーにchrome://flags
と入力します。
ロードされるページで#enable-npapi
を探します。
または、アドレス・バーにchrome://flags/#enable-npapi
と入力すると、このページを直接ロードできます。
「Enable NPAPI」の下の「Enable」リンクをクリックします。
ブラウザを再起動します。
Oracle Identity Managerを11gリリース2 (11.1.2.3.0)にアップグレードした後、アクション可能なメールで実行された承認は、次のエラーにより処理されません。
"Overlapping access point specification".
この問題を修正するには、データベースからアクセス・ポイントを削除します。これを行うには、次の手順を実行します。
Oracle Enterprise Managerにログインします。
左ペインで、「ユーザー・メッセージング・サービス」ノードを開きます。
usermessagingserverを右クリックし、「メッセージング・クライアント・アプリケーション」を選択します。
表示される表の「名前」列に、SOAドメインのエントリが表示されます。すべてのアクセス・ポイントは「アクセス・ポイント」列にリストされます。登録されているアクセス・ポイントとその数を確認します。
アクセス・ポイントを登録解除するには、行を選択して、「登録解除」をクリックします。
SOA管理対象サーバーを再起動すると、アクセス・ポイントが再度登録されます。
このリリースのOracle Identity Managerでは、XL.MAXLOGINATTEMPTS
およびXL.MAXPASSWORDRESETATTEMPTS
システム・プロパティが削除されています。
XL.MAXLOGINATTEMPTS
システム・プロパティの機能は、パスワード・ポリシー詳細ページの「不正なログインの最大試行カウンタ」
フィールドに置換されました。
XL.MAXPASSWORDRESETATTEMPTS
システム・プロパティの機能は、パスワード・ポリシー詳細ページの「チャレンジ・オプション」セクションにある「試行後にユーザーをロック」
フィールドに置換されました。
これらのフィールドの詳細は、『Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行』のパスワード・ポリシーの管理に関する項を参照してください。
Oracle Identity Manager 11gリリース2 (11.1.2.2)からOracle Identity Manager 11gリリース2 (11.1.2.3)にアップグレードした場合、既存のタスク・フローはOracle Identity Manager 11gリリース2 (11.1.2.3)では使用できません。Oracle Identity Manager 11gリリース2 (11.1.2.3)のUIは変更されたため、既存のタスク・フローは無効になります。
11gリリース2 (11.1.2.3)でそれらを使用するためには、独自のタスク・フローを書き直す必要があります。タスク・フローの作成の詳細は、Oracle Identity Managerのためのアプリケーションの開発とカスタマイズを参照してください。
「理由」フィールドが必要となるようカスタマイズされ、そのフィールドの値が設定されない場合は、他のUIページの表示が機能せず、「理由」フィールドの値が空であるために検証エラーが起こります。
「理由」フィールドのADF属性Immediate
を無効にすると、問題が解決される可能性があります。ADF属性Immediate
のスコープは、「送信」または「次」などの特定のアクションのスコープのみに限定されます。
OWSM multi_token_noauth_over_ssl_rest_service_policyが構成されている場合、すべてのアクセスはSSLを介して行われる必要があります。ただし、Oracle RESTセルフ・サービスAPIでは、OWSM multi_token_noauth_over_ssl_rest_service_policyが構成されている場合でも、HTTPを介した未認証アクセスが許可されます。
デプロイメント・マネージャを使用したインポートまたはエクスポートは、EdgeブラウザおよびSafariブラウザではサポートされません。これは、EdgeブラウザおよびSafariブラウザでJavaプラグインやその他すべてのプラグインがサポートされておらず、デプロイメント・マネージャのインポート/エクスポートが機能するためにはJavaプラグインが必要であるためです。これは、次のFAQにも記載されています。
https://www.java.com/en/download/faq/win10_faq.xml
このため、デプロイメント・マネージャのインポート/エクスポートには、Internet Explorerまたはその他のブラウザを使用します。
あらゆるコネクタのアップグレードは、10.3.35項「デプロイメント・マネージャのインポート/エクスポートがEdgeブラウザおよびSafariブラウザでサポートされない」で説明されているプラグインに関する問題が原因で、EdgeブラウザおよびSafariブラウザでサポートされていません。
このため、コネクタのアップグレードには、Internet Explorerまたはその他のブラウザを使用します。
カスタム・クライアント・アプリケーションで以前のバージョンのoimclient.jarを使用すると、次のようなエラーが表示されます。
"oracle.iam.passwordmgmt.vo.Challenge; local class incompatible: stream classdesc serialVersionUID = 7026677945288353246, local class serialVersionUID = -5258470952025280257"
この問題を解決するには、このリリースのOIM_ORACLE_HOME/server/client/oimclient.zipに含まれている新しいバージョンのoimclient.jarを使用するようにクライアント・アプリケーションを更新し、追加のOIM_ORACLE_HOME/modules/oracle.idm.ipf_11.1.2/ipf.jarをlib/classpathに含めます。
現時点では構成の問題はありません。
この項では、多言語の問題および制限について説明します。次の項目が含まれます。
名前にASCII以外の文字が含まれるユーザーに通知を送信する場合、SOAベースの通知は機能しません。通知メールの本文に、次が表示されます。
Error 500--Internal Server Error From RFC 2068 Hypertext Transfer Protocol -- HTTP/1.1: 10.5.1 500 Internal Server Error
次のエラーがログに記録されます。
Caused By: javax.security.auth.login.FailedLoginException: [Security:090304]Authentication Failed: User 0318~A~A~Y~A javax.security.auth.login.FailedLoginException: [Security:090302]Authentication Failed: User 0318~A~A~Y~A denied at weblogic.security.providers.authentication.LDAPAtnLoginModuleImpl.login(LDAPAt nLoginModuleImpl.java:261) at com.bea.common.security.internal.service.LoginModuleWrapper$1.run(LoginModuleW rapper.java:110) at java.security.AccessController.doPrivileged(Native Method) at com.bea.common.security.internal.service.LoginModuleWrapper.login(LoginModuleW rapper.java:106) at sun.reflect.GeneratedMethodAccessor1382.invoke(Unknown Source) at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.j ava:25) at java.lang.reflect.Method.invoke(Method.java:597) at javax.security.auth.login.LoginContext.invoke(LoginContext.java:769) at javax.security.auth.login.LoginContext.access$000(LoginContext.java:186) at javax.security.auth.login.LoginContext$4.run(LoginContext.java:683) at java.security.AccessController.doPrivileged(Native Method) at javax.security.auth.login.LoginContext.invokePriv(LoginContext.java:680)
この問題の解決方法:
次の場所にあるMy Oracle Support Webサイトに移動します。
パッチ18398295を探して適用します。
すべてのサーバーを再起動します。
ブラウザ言語とORA_FUSION_PREFS
Cookieの値に異なる言語を設定すると、Oracle Identity Manager UIはORA_FUSION_PREFS
Cookieによって設定された言語で表示されますが、Oracle Identity Managerヘルプはブラウザ言語で表示されます。
たとえば、ブラウザ言語として日本語を設定し、ORA_FUSION_PREFS=German
を設定すると、Oracle Identity Manager UIはドイツ語で表示されるが、Oracle Identity Managerヘルプは日本語で表示されます。
ブラウザが非英語ロケールで設定されている場合でも、いくつかのページの「組織タイプ」または「ステータス」リストの値は、英語で表示されます。次に例を示します。
Oracle Identity Self Serviceの「マイ・アクセス」ページの「管理ロール」タブの「組織タイプ」または「ステータス」リストの値。
Oracle Identity Self Serviceの「ユーザーの詳細」ページの「管理ロール」タブで選択されている管理ロールの「組織タイプ」または「ステータス」リストの値。
Oracle Identity Self Serviceの「組織の詳細」ページの「子」タブで選択されている下位組織の「組織タイプ」または「ステータス」リストの値。
これは既知の問題であり、現時点で回避策はありません。
タスク・ステータス・オプションの次の値は、ブラウザの言語設定にかかわらず、「プロビジョニング・タスク」ページでは英語で表示されます。
保留
却下
Oracle Identity Self Serviceにデフォルトで移入されているすべてのデータは翻訳できません。たとえば、アイデンティティ・セルフ・サービスの「パスワード・ポリシー」ページに表示されるデフォルト・パスワード・ポリシーの名前(Default Password Policy
)はブラウザの言語設定に関係なく英語です。
ブラウザの言語を次のいずれかに設定すると、アイデンティティ・セルフ・サービスの「本人情報」または「プリファレンス」の「ロケール」ドロップ・ダウンが英語で表示され、ブラウザの言語設定に対応しません。
アラビア語(ar)
チェコ語(cs)
デンマーク語(da)
オランダ語(nl)
ヘブライ語(he)
ハンガリー語(hu)
ノルウェー語(no)
ルーマニア語(ro)
スロバキア語(sk)
トルコ語(tr)
現時点ではドキュメントの問題はありません。